当前位置:文档之家 › 信息安全概论大全PPT

信息安全概论大全PPT

  • 格式:pdf
  • 大小:265.82 KB
  • 文档页数:39

下载文档原格式

  / 39

合集下载

《信息安全概述》PPT课件 (2)

《信息安全概述》PPT课件 (2)
(1). 早在20 世纪初期,通信技术还不发达,面对 、 电报、 等信息交换过程中存在的安全问题,人们 强调的主要是信息的保密性,对安全理论和技术的 研究也只侧重于密码学,这一阶段的信息安全可以 简单称为通信安全,即COMSEC(Communication Security)。
1.4 信息安全发展的过程
1.2 信息安全的概念
A. 信息安全就是关注信息本身的安全,而不管 是否应用了计算机作为信息处理的手段。信 息安全的任务是保护信息资源,以防止偶然 的或未授权者对信息的恶意泄露、修改和破 坏,从而导致信息的不可靠或无法处理等。 这样可以使得人们在最大限度地利用信息的 同时损失最小。
1.2 信息安全的概念
前言
A. 上述事实说明,在信息时代,信息系统的安全 性已经成为非常重要的研究课题。利用计算机 进行信息犯罪已经侵入到政府机关、军事部门、 商业、企业等单位。
B. 如果不加以遏制,轻则干扰人们的日常生活, 重则造成巨大的经济损失,甚至威胁到国家的 安全,所以信息安全已经引起许多国家,尤其 是发达国家的高度重视,他们不惜在此领域投 入大量的人力、物力和财力,以达到提高计算 机信息系统安全的目的。
要保证信息的安全就必须想办法在一定程度上克服 以上的种种威胁。需要指出的是,无论采取何种防
范措施都不能保证信息的绝对安全。安全是相对的,
不安全才是绝对的。
1.4 信息安全发展的过程
信息安全自古以来就是受到人们关注的问题,但在 不同的发展时期,信息安全的侧重点
和控制方式是有所不同的。大致说来,信息安全在 其发展过程中经历了3个阶段。
前言
1988年11月2日,美国康奈尔大学的学生罗伯 特·莫里斯释放多个蠕虫病毒,造成因特网上近 6 000台主机瘫痪,据称损失高达几千万美元。

信息安全概论ppt课件

信息安全概论ppt课件
插入伪造的事务处理或向数据库加入记录
可编辑ppt
14
可编辑ppt
15
计算机入侵的特点(4)
攻击者必备的三点 • 方法(method):技巧、知识、工具或能实施攻
击的其他方法 • 机会(Opportunity):完成攻击的时间和入口 • 动机(Motive):攻击的原因。
可编辑ppt
16
防御方法(1)
计算机网络
可编辑ppt
1
信息安全基础
可编辑ppt
2
信息安全面临的挑战(1)
保护信息和保护钱财的差异
信息
钱财
规模和可移动 性
避免物理接触 的能力
资源价值
设备小,可移动 性强 简单
高低不同
庞息安全面临的挑战(2)--安全是什么?
➢ 与保护有价物品的系统进行对比 • 预防:警卫、警报系统;
查远程机器的安全体系,是出于改进的愿望,这种分 析过程是创造和提高的过程。) • 不断追求更深的知识,并公开他们的发现,与其他人 分享;从来没有破坏数据的企图。
可编辑ppt
22
黑客的定义( Hacker)
现在:
• 学会如何闯入计算机系统的人; • 试图入侵计算机系统或使这些系统不可用; • 是指怀着不良的企图,闯人甚至破坏远程机器系统完
29
采用的安全技术
• 防火墙
98%
• 反病毒软件
98%
• 反间谍软件
78%
• 基于服务器的访问控制列表
70%
• 入侵检测系统
68%
• 传输数据加密
65%
• 存储数据加密
48%
• 可重用帐户、登陆口令
45%
• 入侵防护系统
42%

计算机网络信息安全知识ppt课件

计算机网络信息安全知识ppt课件

网络攻击事件频发 近年来,网络攻击事件不断增多,包括钓鱼攻击、 勒索软件、恶意代码等,给企业和个人带来了巨 大损失。
数据泄露风险加大 随着大数据技术的发展,海量数据的集中存储和 处理增加了数据泄露的风险,个人隐私和企业秘 密面临严重威胁。
网络安全法规不断完善 各国政府纷纷出台网络安全法规和政策,加强对 网络安全的监管和治理,网络安全法制建设不断 完善。
采用端到端加密技术,确保用户隐私信息的安全。
恶意链接检测
对用户发送的链接进行安全检测,防止恶意链接的传播。
文件传输安全
对传输的文件进行加密处理,确保文件传输过程中的安全性。
身份验证与授权
实施严格的身份验证和授权机制,防止未经授权的访问和操作。
06
恶意软件防范与处置方法
恶意软件分类及危害
恶意软件的分类
信息安全的重要性
信息安全对于个人、组织、企业乃至国家都具有重要意义,它涉及到个人隐私 保护、企业商业秘密、国家安全等方面,是数字化时代不可或缺的保障。
计算机网络面临的安全威胁
01
02
03
04
网络攻击
包括黑客攻击、病毒传播、蠕 虫感染等,旨在破坏网络系统 的正常运行或窃取敏感信息。
数据泄露
由于技术漏洞或人为因素导致 敏感数据泄露,如用户个人信
02
网络安全基础技术
防火墙技术原理与应用
防火墙基本概念
防火墙部署方式
防火墙策略配置
防火墙应用场景
定义、分类、工作原理
硬件防火墙、软件防火 墙、云防火墙
访问控制列表(ACL)、 NAT、VPN等
企业网络边界防护、数 据中心安全隔离等
入侵检测与防御系统(IDS/IPS)
01

信息安全概论课件

信息安全概论课件

信息安全意识教育的内容
介绍信息安全意识教育的主要内容,包括信息安全 基本概念、安全风险防范、个人信息保护等方面的 知识。
信息安全意识教育的实施 方式
探讨如何有效地开展信息安全意识教育,包 括课程设置、培训形式、宣传推广等方面的 措施。
内容。
信息安全道德规范的核心原则
02 阐述信息安全道德规范所遵循的核心原则,如尊重他
人隐私、保护国家安全、维护社会公共利益等。
信息安全道德规范的具体要求
03
详细说明在信息安全领域中,个人和组织应该遵循的
具体道德规范和行为准则。
信息安全意识教育
信息安全意识教育的重要 性
强调信息安全意识教育在保障信息安全中的 重要作用,分析当前信息安全意识教育的现 状和不足。
对称密钥密码体制安全性
对称密钥密码体制安全性取决于密钥的保密性,如果密钥泄露,则加密 信息会被破解。因此,对称密钥密码体制需要妥善保管密钥。
非对称密钥密码体制
非对称密钥密码体制定义
非对称密钥密码体制也称为公钥密码体制,是指加密和解密使用不同密钥的加密方式。
非对称密钥密码体制算法
非对称密钥密码体制算法包括RSA(Rivest-Shamir-Adleman)、ECC(椭圆曲线加密算 法)等,这些算法通过一对公钥和私钥来进行加密和解密操作。
数字签名主要用于验证信息的完整性 和真实性,以及防止信息被篡改和伪 造。
数字签名与验证流程包括签名生成和 验证两个阶段。在签名生成阶段,发 送方使用私钥对信息摘要进行加密, 生成数字签名;在验证阶段,接收方 使用公钥对数字签名进行解密,得到 信息摘要,并与原始信息摘要进行比 对,以验证信息的完整性和真实性。
信息安全的威胁与风险
01

信息安全概论 PPT

信息安全概论 PPT
13
1.3 信息安全技术体系
14
1.3 信息安全技术体系
本书将在后面的章节中介绍这些技术,这里 先概述一下其基本内容。 1)信息安全保障技术框架 2)密码技术 3)标识与认证技术 4)授权与访问控制技术 5)信息隐藏技术 6)网络与系统攻击技术
15
1.3 信息安全技术体系
7)网络与系统安全防护及应急响应技术 8)安全审计与责任认定技术 9)主机系统安全技术 10)网络系统安全技术 11)恶意代码检测与防范技术 12)内容安全技术 13)信息安全测评技术 14)信息安全管理技术
18
1.4 信息安全模型
• Simmons面向认证系统提出了无仲裁认证 模型,它描述了认证和被认证方通过安全 信道获得密钥、通过可被窃听的线路传递 认证消息的场景;
19
1.4 信息安全模型
• Dolev和Yao针对一般信息安全系统提出了 Dolev-Yao威胁模型,它定义了攻击者在 网络和系统中的攻击能力,被密码协议的 设计者广泛采用。随着密码技术研究的深 入,有很多学者认为密码系统的设计者应 该将攻击者的能力估计得更高一些,如攻 击者可能有控制加密设备或在一定程度上 接近、欺骗加密操作人员的能力。
Байду номын сангаас
1.1 信息安全的概念
(6)可用性(usability):当突发事件(故障、 攻击等)发生时,用户依然能够得到或使 用信息系统的数据,信息系统的服务亦能 维持运行的属性。 (7)可控性(controllability):能够掌握和控 制信息及信息系统的情况,对信息和信息 系统的使用进行可靠的授权、审计、责任 认定、传播源与传播路径的跟踪和监管等 等。
信息安全概论
1
第一章 绪论
1.1 1.2 1.3 1.4 1.5 信息安全的概念 信息安全发展历程 信息安全技术体系 信息安全模型 信息安全保障技术框架

《信息安全概述》PPT课件

《信息安全概述》PPT课件
此要妥善加以保护。
h
29
哪些是信息
• 网络上的数据 • 纸质文件 • 软件 • 物理环境 • 人员 • 设备 • 公司形象和声誉
……
h
30
信息的处理方式
h
31
信息系统的弱点
信息存储的弱点
磁盘意外损坏
光盘意外损坏
磁带被意外盗走
• 导致数据丢失
• 导致数据h无法访问
32
信息系统的弱点
信息传输的弱点
30哪些是信息哪些是信息31信息的处理方式信息的处理方式32磁盘意外损坏磁盘意外损坏光盘意外损坏光盘意外损坏磁带被意外盗走磁带被意外盗走导致数据丢失导致数据丢失导致数据无法访问导致数据无法访问信息系统的弱点信息系统的弱点33信息系统的弱点信息系统的弱点总部总部下属机构下属机构黑客黑客信息泄密信息泄密信息被篡改信息被篡改nternet34企业网络企业网络非法用户非法用户非法登录非法登录合法用户合法用户越权访问越权访问信息系统的弱点信息系统的弱点计算机网络信息被越权访问信息被越权访问信息被非授权访问信息被非授权访问35网络安全面临的威胁网络安全面临的威胁物理风险系统风险信息风险应用风险其它风险网络的风险管理风险设备防盗防毁设备防盗防毁链路老化人为破链路老化人为破网络设备自身故网络设备自身故停电导致无法工停电导致无法工机房电磁辐射机房电磁辐射其他其他信息存储安信息存储安信息传输安信息传输安信息访问安信息访问安其他其他身份鉴别身份鉴别访问授权访问授权机密性机密性完整性完整性不可否认不可否认可用性可用性计算机病计算机病外部攻击外部攻击内部破坏内部破坏其他风险其他风险软件弱点软件弱点是否存在管理方是否存在管理方面的风险需面的风险需有无制定相应的有无制定相应的安全制度安全制度安全拓安全拓安全路安全路internet36什么是信息安全什么是信息安全信息安全infosec

《信息安全》PPT课件 (2)

硬件等。 • (3)隐蔽性:主要表现在传染的隐蔽性和自身存在的隐蔽性。 • (4)寄生性:病毒程序寄生到宿主程序中,宿主程序一旦执行,病毒程序就被激
活,从而可以进行自我复制和繁衍。
10
10.2 计算机病毒
• (5)潜伏性:计算机病毒都有一定的潜伏期。当满 足病毒触发条件时便会发作。
• (6)触发性:计算机病毒一般都设定了一些触发条 件,如系统时钟的某个时间或日期,系统运行了某 些程序,某些文件使用了一定的次数等。
• 计算机病毒就是一个特殊的计算机程序。 10.2.2 计算机病毒的分类及特征 • 1.计算机病毒的分类: • (1)引导扇区病毒:能够替换计算机启动时要使用的
引导扇区程序;运行受感染的引导程序,实际上使用 的是改变之后的、受感染的引导程序,这样计算机便 把病毒加载到了内存及CPU之中。计算机病毒一旦进 入内存,便会传染到该计算机中的任何磁盘上。
第10章 信息安全
1
本章目录
• 10.1 信息安全概述 • 10.2 计算机病毒 • 10.3 黑客 • 10.4 信息安全技术简介
2
10.1信息安全概述
10.1.1 信息安全基本概念 • 信息安全:安全保护措施,以保护计算机系统中的硬
件、软件及数据,防止因偶然或恶意的原因而使系 统或信息遭到破坏、更改或泄漏 • 信息安全的目标就是要保证信息系统保密性、完整 性、可用性、可控性等特征不被威胁和破坏。 • 保密性是指信息不泄露给非授权的用户;完整性是 指数据不得非法篡改;可用性是指被授权的实体(用 户)需要存取信息时可以存取信息;可控性是指对 信息的传播及内容具有控制能力。
16
10.4 信息安全技术简介
• 防火墙的介绍
• 防火墙是一个位于内部网络与Internet之间的计算 机或网络设备中的一个功能模块,是按照一定的安 全策略建立起来的硬件和软件的有机组成体,其目 的是为内部网络或主机提供安全保护。

《信息安全简介》PPT课件

信息安全简介
1
.
主要内容
一 信息安全概述 二 信息安全等级保护 三 信息安全分级保护
2
.
信息安全概述
一 信息安全的基本属性 二 信息安全的分类 三 信息安全中的系统安全简介

.
信息安全的基本属性
一 保密性:保证机密信息不被窃听,或窃听者不能了解 信息的真实含义。
二 完整性:保证数据的一致性,防止数据被非法用户篡改 三 可用性:保证合法用户对信息和资源的使用不会被不正
PCR密码卡 视频干扰 备份与恢复 操作系统安全
磁介质消除 保密检查 电子公文加密 印章管理
6
.
信息系统是否涉及国家秘密
一般信息系统:
《信息安全等级保护管理办法》
涉及国家秘密的信息系统:
《涉及国家秘密的信息系统分级保护管理办法》
7
.
信息安全等级保护
专控保护
信息系统安全保护层次
强制保护 监督保护
指导保护
当地拒绝 四 可控性: 对信息的传播及内容具有控制能力 五 可审查性:对出现的网络安全问题提供调查的依据和手
段。
4
.
信息安全的分类
一 数据安全 二 系统安全 三 电子商务
5
.
系统安全的分类
边界安全 内网安全 通信链路安全 基础安全 数据库安全 保密工具 应用安全
IP加密 防火墙 网关 数据管理系统 身份证管理 加密传真 加密电话 IP电话机
信息安全分级保护
BMB17 — 2006《涉及国家秘密的信息系统分级保护技术要求》 BMB18-2006《涉及国家秘密的信息系统工程监理规范》
BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》
BMB17和BMB20是分级保护的设计基础与测评依据

信息安全概论--信息安全体系结构 ppt课件


3. 通信机制
事实上,除了在最底层——物理层,上进行的是实际的通信之外,其余各 对等实体之间进行的都是虚通信或逻辑通信。高层实体之间的通信是调用 相邻低层实体之间的通信实现的,如此下去总是要经过物理层才能实现通 信。
N+1层实体要想把数据D传送到对等实体手中,它将调用N层提供的通信服 务,在被称为服务数据单元(SDU)的D前面加上协议头(PH),传送到 对等的N层实体手中,而N层实体去掉协议头,把信息D交付到N+1层对等 实体手中。
·
路由 控制
公证
·
·
·
·
·
·
Y
·
Y
·
·
·
Y
·
·
·
·
·
·
·
·
·
·
·
·
Y
·
Y
2.3.5 层次化结构中服务的配置
服务
协议层
1
2
3
4
5
6
7
对等实体鉴别
·
·
Y
Y
·
·
Y
数据原发鉴别
·
·
Y
Y
·
·
Y
访问控制
·
·
Y
Y
·
·
Y
连接机密性
Y
Y
Y
Y
·
Y
Y
无连接机密性
·
Y
Y
Y
·
Y
Y
选择字段机密性
·
·
·
·
·
Y
Y
通信业务流机密性
(11)选择字段的无连接完整性 仅对一层上协议的某个服务数据单元SDU的部分字段提供完整性检查服务,确

信息安全概论ppt课件

• 推动国内信息安全产业发展的因素:
• 企业信息化乃至社会的信息化; • 政府的引领和推进作用; • 安全技术和产品的日益成熟。
• 主要安全产品:
• 防火墙:包过滤技术、应用网关技术、代理服务技 术
• 安全路由器:采用访问控制技术控制网络信息流
管理系
377
信息安全概述——研究内容
• 虚拟专用网:可信内部网的互联,采用数据加密技 术和访问控制技术
等新型方式的出现及普及,对信息安全提出了更 高的要求。
管理系
7
信息安全概论——概述
• 电报、电话、Email • 网上购物
管理系
8
信息安全概论——概述
• 团购网站:拉手、美团、糯米、24券
管理系
9
信息安全概论——概述
• 网上银行:中、农、工、建、交通、浦发。。。
管理系
100
信息安全概论——概述
• 理论研究 • 实用安全协议研究:标准化
管理系
311
信息安全概述——安全体系结构理论与技术
• 3、安全体系结构理论与技术
• 安全体系模型建立及形式化描述与分析; • 安全策略和机制研究; • 系统安全性检验方法和准则建立; • 基于相关模型、策略和准则的系统研制。
• 发展演变:
• 20世纪80年代:美国国防部制定的TCSEC——安 全信息系统体系结构的最早准则;
• 热门问题:
• 网络攻击:美国NIPC、CIAC(计算机事故咨询功 能组)、CERT(计算机紧急响应小组)和COAST (计算机操作、审计和安全技术组)等都是研究网 络攻击方法的著名组织。
• 入侵检测与防范:形成了IDS等系列产品。
管理系
366
信息安全概述——网络安全与安全产品
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

• 数据加密(Data Encryption)
数据加密算法是一种数学变换,在选定参 数(密钥)的参与下,将信息从易于理解的明文加密为不 易理解的密文,同时也可以将密文解密为明文 。加、 解密时用的密钥可以相同,也可以不同。加、解密密钥 相同的算法称为对称算法,典型的算法有DES、AES等; 加、解
密密钥不同的算法称为非对称算法。在非对称算法中, 通常一个密钥公开,另一个密钥私藏,因而也称为公钥 算法,典型的算法有RSA、ECC等。
• 密钥管理(Key Management)
密码算法是可以公开的,但密钥必须受到严格的保 护。如果非授权用户获得加密算法和密钥,则很容易破 解或伪造密文,加密也就失去了意义。密钥管理研究就 是研究密钥的产生、发放、存储、更换和销毁的算法和 协议等。
1.2.1.2安全理论
• 身份认证(Authentication)
• 防病毒技术(Anti-virus)
病毒是一种具有传染性和破坏性的计算机程 序。自从1988年出现morris蠕虫以来,计算机病毒成为 家喻户晓的计算机安全隐患之一。随着网络的普及,计 算机病毒的传播速度大大加快,破坏力也在增强,出现 了智能病毒、远程控制病毒等。因此研究和防范计算机 病毒也是信息安全的一个重要方面。 病毒防范研究的重点包括病毒的作用机理、 病毒的特征、病毒的传播模式、病毒的破坏力、病毒的 扫描和清除等。
• 消息摘要(Message Digest)
消息摘要算法也是一种数学变换,通常是单 向的变换(不可逆),它将不定长度的信息变换为固定 长度的的摘要(如16字节) ,信息的任何改变(即使 是1bit)也能引起摘要面目全非的改变,因而可以通过 信息摘要检测信息是否被篡改。典型的算法有MD5、SHA 等。
• 机密性(Confidentiality)
机密性是指保证信息不能被非授权访问,即使非授 权用户得到信息也无法知晓信息内容,因而不能使用。 通常通过访问控制阻止非授权用户获得机密信息,通过 加密变换阻止非授权用户获知信息内容。
• 完整性(integrity)
完整性是指维护信息的一致性,即信息在生成、传 输、存储和使用过程中不应发生人为或非人为的非授权 篡改。一般通过访问控制阻止篡改行为,同时通过消息 摘要算法来检验信息是否被篡改。
• 漏洞扫描技术(Venearbility
Scanning)
漏洞扫描是针对特定信息网络存在的漏洞而进行的。 信息网络中无论是主机还是网络设备都可能存在安全隐 患,有些是系统设计时考虑不周留下的,有些是系统建 设时出现的。这些漏洞很容易被攻击,从而危及信息网 络的安全。由于安全漏洞大多是非人为的、隐蔽的,因 此,必须定期扫描检查、修补加固。操作系统经常出现 的补丁模块就是为加固发现的漏洞而开发的。由于漏洞 扫描技术很难自动分析系统的设计和实现,因此很难发 现未知漏洞。目前的漏洞扫描更多的是对已知漏洞的检 查定位。 漏洞扫描技术研究的主要内容是漏洞的发现、漏洞 特征分析和定位、扫描方式和协议等内容。
此外,管理安全也是很重要的。普遍认为,信息安 全三分靠技术,七分靠管理,可见管理的份量。管理应 该有统一的标准、可行的策略和必要的测评,因而,管 理安全包括安全标准、安全策略、安全测评等。这些管 理措施作用于安全理论和技术的各个方面。
1.2.1信息安全基础研究
信息安全基础研究的主要内容包括密码学研究和网 络信息安全基础理论研究。
身份认证是指用户身份与其所声称的身份是否一致 的过程。最常见的身份认证是通过口令认证。口令认证 是在用户注册时记录下其身份和口令,在用户请求服务 时出示身份-口令对,通过比较其出示的身份-口令与 注册是记录下的时否一致来鉴别身份的真伪。复杂的身
份认证则需要基于可信的第三方权威认证机构的保证和 复杂的密码协议的支持, 如基于证书认证中心(CA)和 公钥算法的认证等。 身份认证研究的主要内容是认证的特征(如 知识、推理、生物特征等)和认证的可信协议和模型。
防火墙技术是一种安全隔离技术,它通过在两个安 全策略不同的安全域间设置防火墙来控制两个域间的互 访行为。隔离可以在网络层的多个层次上实现,目前应 用较多的是网络层的包过滤技术和应用层的安全代理技 术。包过滤技术通过检查信息流的信源和信宿地址等方 式确认是否允许数据包通行,而安全代理则通过分析访 问协议、代理访问请求来实现访问控制。 防火墙技术的研究内容包括防火墙的安全策略、实 现模式、强度分析等。
无论在计算机上存储、处理和应用,还是在通 信网络上传输,信息都可能被非授权访问导致泄密,被 篡改破坏导致不完整,被冒充替换导致否认,也可能被 阻塞拦截导致无法存取。这些破坏可能是有意的,如黑 客攻击、病毒感染;也可能是无意的,如误操作、程序 错误等。 那么,信息安全究竟关注那些方面呢?尽管目 前说法不一,但普遍被接受的观点认为,信息安全的目 标是保护信息的机密性、完整性、抗否认性和可用性。 也有的观点认为是机密性、完整性和可用性,即 CIA (Conf identiality ,Integrity,Availability)。
段云所 副教授 北京大学信息学院 软件研究所-信息安全研究室
Email: doyes@
第一章
1.1 信息安全的目标
ቤተ መጻሕፍቲ ባይዱ


通信、计算机和网络等信息技术的发展大大提升了 信息的获取、处理、存储、传输和应用能力,信息数字 化已成为普遍的现象。互联网的普及更方便了信息的共 享和交流,使信息技术的应用扩展到社会经济、政治军 事、个人生活等各个领域。因此,信息安全的重要性可 以上升到国家安全的高度。
1.2.1.1密码理论
密码理论(Cryptography)是信息安全的基 础,信息安全的机密性、完整性和抗否认性都依赖于密 码算法。通过加密可以保护信息的机密性,通过信息摘 要就可以检测信息的完整性,通过数字签名可以保护信 息的抗否认性。加密变换需要密钥的参与,因而密钥管 理也是十分重要的研究内容。因此,密码学的主要研究 内容是加密算法、消息摘要算法、数字签名算法以及密 钥管理等。
• 安全协议 (Security Protocol)
安全协议是构建安全平台时所使用的与安全 防护有关的协议,是各种安全技术和策略具体实现时共 同遵循的规定。如安全传输协议、安全认证协议、安全 保密协议等。典型的安全协议有网络层安全协议IPSec、 传输层安全协议SSL、应用层安全电子交易协议SET等。 安全协议研究的主要内容是协议的内容和 实现层次、协议自身的安全性、协议的互操作性等。
授权和访问控制研究的主要内容是授权策略、 访问控制模型、大规模系统的快速访问控制算法等。
• 审计追踪(Auditing and Tracing)
审计和追踪也是两个关系密切的概念,审计是指对 用户的行为进行记录、分析、审查,以确认操作的历史 行为,是中性词汇。追踪则有追查的意思,通过审计结 果排查用户的全程行踪。审计通常只在某个系统内部进 行,而追踪则需要对多个系统的审计结果关联分析。 审计追踪研究的主要内容是审计素材的记录方式、 审计模型、追踪算法等。
1.2.2 信息安全应用研究
信息安全的应用研究是针对信息在应用环境下的安 全保护而提出的,是信息安全基础理论的具体应用,包 括安全技术研究和平台安全研究。
1.2.2.1 安全技术
安全技术是对信息系统进行安全检查和防护的技 术,包括防火墙技术、漏洞扫描技术、入侵检测技术、 防病毒技术等。
• 防火墙技术(Firewall)
密码理论: 数据加密、数字签名、消息摘要、密钥管 理 图1-1 信息安全研究内容及相互关 系
密码理论的研究重点是算法,包括数据加密算法、 数字签名算法、消息摘要算法及相应密钥管理协议等。 这些算法提供两个方面的服务:一方面,直接对信息进 行运算,保护信息的安全特性:即通过加密变换保护信 息的机密性,通过信息摘要变换检测信息的完整性,通 过数字签名保护信息的抗否认性;另一方面,提供对身 份认证和安全协议等理论的支持。 安全理论的研究重点是在单机或网络环境下 信息防护的基本理论,主要有访问控制(授权)、身份 认证、审计追踪(这三者常称为AAA,即 Authorization , Authentication, Audit)、安全协 议等。这些研究成果为建设安全平台提供理论依据。
• 入侵检测技术(Intrusion
Detection)
入侵检测是通过对网络信息流提取和分析发 现非正常访问模式的技术。目前主要有基于用户行为模 式、系统行为模式和入侵特征的检测等。在实现时,可 以只检测针对某主机的访问行为,也可以检测针对整个 网络的访问行为,前者称为基于主机的入侵检测,后者 称为基于网络的入侵检测。 入侵检测技术研究的主要内容包括信息流 提取技术、入侵特征分析技术、入侵行为模式分析技术、 入侵行为关联分析技术、高速信息流快速分析技术等。
• 数字签名(Digital Signature)
数字签名主要是消息摘要和非对称加密算法的组合 应用。从原理上讲,通过私有密钥用非对称算法对信息 本身进行加密,即可实现数字签名功能。这是因为用私 钥加密只能用公钥解密,因而接受者可以解密信息,但 无法生成用公钥解密的密文,从而证明用公钥解密的密 文肯定是拥有私钥的用户所为,因而是不可否认的。实 际实现时,由于非对称算法加/解密速度很慢,因而, 通常先计算信息摘要,再用非对称加密算法对信息摘要 进行加密而获得数字签名 。
• 授权和访问控制(Authorization and Access Control)
授权和访问控制是两个关系密切的概念,常被替代 使用,但也有细微区别。授权侧重于强调用户拥有什么 样的访问权限,这种权限是在系统预先设定的,并不关 心用户是否发起访问请求;而访问控制是对用户访问行 为的控制,它将用户的访问行为控制在授权允许的范围 之内,因此,也可以说,访问控制是在用户发起访问请 求时才起作用的。打个形象的比喻,授权是签发通行 证 ,而访问控制则是卫兵,前者规定用户是否有权出入 某个区域,而后者检查用户在出入时是否超越了禁区。